CISO需要了解有关云安全性能的真实数据。因为C级高管和董事会不断向安全经理询问与暴露相关的问题——“我们需要多高的安全级别?我们离满足合规性要求还有多远?”——CISO也在寻求根据战略目标有效衡量云治理并报告这些发现。如果没有深入了解风险和成本的仪表板,以及高管真正关心的其他信息安全指标,如何正确衡量云上的安全操作?IT部门正在缓慢但肯定地调整安全控制(记录流程)和架构模型,以适应公共和私有云环境中的信息系统。随着预防性、检测性和反应性控制进入混合云模型,CISO现在必须考虑云中的治理以及用于内部跟踪和服务级别协议(SLA)的新信息安全指标。有一些监控活动,信息安全指标基本都在内部数据中心和云端。机会在于,引入云环境的安全工具将能够捕获大量相同的数据,并为今天收集的任何信息提供安全指标。例如,虚拟防火墙设备记录丢失或阻塞的连接;基于云的漏洞扫描可以报告基础设施即服务或平台即服务系统,以及补丁和暴露的状态;基于主机的安全监控工具日志文件访问和配置多种多样。新的InfoSec云指标然而,CISO必须更多地关注云中的性能指标和SLA相关指标。这意味着安全团队需要调查可以收集的与云安全(云操作)相关的新指标。如果自动配置与Chef和Puppet等编排工具配合使用,它可以收集日志以用于实例生成和情况评估。还可以监控与管理活动、加密工具和密钥使用和访问有关的事件,以及对已批准配置的更改,以确定云提供商的安全状况。重要的信息安全指标包括以下内容:云提供商控制台的管理登录次数云环境中处于非活动状态超过指定时间的“孤立”帐户的数量一段时间)使用经批准配置的系统数量与未使用经批准配置的系统数量对比技术控制不足安全高级管理层还需要监控云提供商的合同义务、法律和供应链方面。在每个供应商合同中,通常会定义一系列SLA,范围从标准操作能力(正常运行时间和性能)到与安全相关的要求(事件响应时间和法律或取证请求)。一些云提供商可能有义务满足数据生命周期要求,例如数据保留、电子邮件消息的合法拥有以及对设备和证据的监管链要求的响应。必须密切跟踪这些合同义务,并向运营和执行管理层报告。还必须仔细监控和报告对云提供商审计和证明报告的任何更改。如果供应商的SOC2报告中的控制声明发生重大变化,则必须由安全和法律团队公布和评估。虽然云服务成本更多地与运营和开发团队相关,但大多数成熟的部署现在还包括大量与安全相关的成本。费用范围从安全技术引起的额外消耗到与“云上”工具和产品相关的许可,再到云访问安全代理等新服务。成本还可能包括身份验证和加密服务,以及为这些环境提供控制的其他云服务。安全团队不能忽视云使用的财务和预算方面,因为信息安全控制和服务现在是部署和运营不可或缺的一部分。云指标可能包括随时间发生的费用和预算、不可预见的变化(可能是积极的或消极的),以及花费在云与本地的总体安全预算的百分比。该模型尚未成熟另一个需要跟踪的重要领域是云安全计划的整体成熟度。所有企业都想知道与行业其他企业相比,他们的表现如何。由于该类别缺乏基准,我们需要知道从哪里开始。大多数安全团队使用类似的控制框架,例如美国国家标准与技术研究院(NIST)800-53、NIST网络安全框架和云安全联盟云控制指标,以及传统的成熟模型,例如通用成熟度模型。这无论如何都不是最好的解决方案,但至少公司可以将本地控制的成熟度与云端控制的成熟度进行比较,并调查需要改进的地方。目前,一些控制方式在云端还不成熟。等待云提供商提高他们的能力,以及云环境中的本地集成变得更加稳定,都需要时间。无论您选择哪种云指标,请确保收集反馈并确认这些是否对利益相关者真正有用。安全高级管理人员倾向于报告超级复杂的信息安全指标,或者只是对业务主管用处不大的原始数据。这是一个不好的趋势,我们在云上前进时可以有意识地防止。专注于真正重要的事情:改善安全控制的状态、发现流程或策略弱点并修复它们、报告支出并满足合规性要求和成熟度目标。如果你专注于这些方面,你一定会收获很多。
